AD --- 活动目录的平常管理操做(2)

第一节:FSMO规划最佳实践:将森林级别的FSMO角色放置于森林根域的全局编目服务器上将两个森林级别的FSMO角色放置于同一台域控制器上将三个域级别的FSMO角色放置于同一台高性能的域控制器上不建议将域级别的FSMO角色放置于全局编目服务器上下降PDC仿真器的负载--修改注册表架构主控的规划:占有架构主控的域控制器必需保证高可用性,可是不是必需拥有高性能域命名主控的规划:占有域名命主控的域控制器必需保证高可用性,可是不是必需拥有高性能.且该DC必需同时也是全局编录服务器 PDC仿问器的规划:占有PDC仿真器的域控制器必需保证同时拥有高可用性和高性能 RID主控的规划:占有RID主控的域控制器必需保证高可用性,可是不是必需拥有高性能基础架构主控的规划:占有RID主控的域控制器能够忽略可用性和性能方面的考虑,可是不能把基础架构主控同全局编目服务器放在同一台与控制器上

第二节:转移操做主控强占操做主控

首先从windows server 2000安装光盘里面找到SUPPORT文件夹--TOOLS--双击SETUP把这个工具安装上经过开始--运行--输入cmd按肯定来打开命令提示符在命令提示符里面输入netdom query fsmo /domain:Nwtraders.Msft按回车键后能够看到5种角色了都是在Beijing这台计算机上由于Beijing这台DC是整个森林内第一台DC 因此森林里面的Schema owner Domain role owner 这两个角色在这台计算机上森林根域的 PDC role RID pool manager Infrastructure owner这三个角色也在这台计算机上 netdom这个工具能够本标识出当前域内的全部FSMO角色我再来查那个子域的FSMO角色看一下输入netdom query fsmo /domain:Subdom.Nwtraders.Msft按回车键后也能够看到5种角色由于它是一个子域森林里面的两个角色在Beijing这台计算机上而森林根域的三个角色就在本计算机上(Hangzhou)

经过开始--程序--Windows 2000 Support Tools--Tools--按ADSI Edit 实际上就是打开活动目录数据库了好比我现想查谁是Schema Master 对着CN=Schema,CN=Configuration,DC=Nwtraders,DC=Msft这一项右键--选择属性在Select a property to view那一项选择fSMORoleOwner那一项在Value(s)那一项能够看到BEIJING那台DC是Schema Master 另外那四种角色也一样就这样查的就是在Select a property to view那一项选择fSMORoleOwner那一项而后在Value(s)里面就能够看到这个角色是在那台计算机上了

SID的组成是这样的 s-1-5-21-xxxx-yyyy-zzz-mmmm 中间那三段叫作Domain sid 这三段是用来标识一个域的换句话说同一个域内的全部的用户这三段都是同样的最后一段mmmm就叫作rid 若是要保证同一个域内的用户它们的sid是不冲突的关键是rid不同就能够了怎么样确保rid不同呢？就是RIDMaster的做用它分配可用的RID池给域内DC 防止安全主体的SID冲突这个可用的RID池其实是有600个RID 当你的DC去建立用户的时候就从可用RID池里面拿只要这个DC保证不分配重复的RID就能够了假如一个域有10台DC RIDMaster主要确保这10台DC可用的RID池是不同的无论在那台DC上建立用户建立出来的每一个用户的SID都不同

在命令提示符里面输入dcdiag /v 按回车键后能够看到一项Starting test:RidManager 能够看到这个域可用的RID池是从2101到1073741823 能够看到Beijing这台计算机是RID Master 当前这台DC可用的范围是从1101到1600 rIDNextRID:1106 这个表示也就是下一次建立的用户它的RID是1106

谁是nwtraders.msft这个名称空间下的DC呢? 能够查什么获得呢? 能够查SRV记录获得展开nwtraders.msft这个域--msdcs--dc--按tcp 能够看到beijing这台计算机是DC shanghai那台计算机也是DC 客户端经过DNS去查询客户端到底要用那台DC呢? 通常状况下优先级越低会越被优先使用负担越高会越被优先使用怎么样下降PDC的负载呢? 经过修改PDC的SRV记录 beijing这台计算机是PDC 我如今把beijing这台计算机的优先级改为10 负担改为50 这个时候就不会被优先使用beijing这台DC了注意:不要在ldap属性里面改在这里改是没有用的一旦重启计算机就又变成原值了在命令提示符里面输入net stop netlogon & net start netlogon按回车键后就中止Net Logon服务而且再重启NetLogon服务当你重启计算机的时候这个服务必定会重启的当你重启net logon服务后 beijing这台DC的优先级和负担又变成原值了你不该该经过这种方式改怎么改呢? 修改注册表

经过开始--运行--输入regedit按肯定来打开注册表编辑器在注册表编辑器里面的找到左下角那个路径按Parameters 在右边的空白处右键--新建--选择双字节值建立二个一个叫作ldapsrvpriority(优先级)数值数据为50 一个叫作ldapsrvweight(负担)数值数据为10 在命令提示符里面输入net stop netlogon & net start netlogon按回车键重启net logon服务后你就发现跟这个DC全部相关的SRV记录都变成我在注册表编辑器里面设置的值了因此你能够在注册表编辑器里面加这二个键值来下降客户端对PDC的访问展开pdc--按tcp--双击ldap后就能够看到优先级变成50 负担变成10了

在命令提示符里面输入netdom query fsmo按回车键后能够看到这个域内的5种角色都给Beijing这台计算机占用可是由于Beijing这台计算机的性能的缘由我以为它不适合充当这个角色了我想把它转移走怎么转移呢? 其实是有二种方式一种是经过图形页面转移打开Active Directory用户和计算机对着域名右键--选择操做主机能够看到RID PDC 结构你能够在这里面作转移另外一种方式是在命令提示符里面操做输入ntdsutil按回车键输入roles按回车键输入con按回车键输入con to ser shanghai.nwtraders.msft按回车键就是说我如今要绑定到shanghai这台计算机上我要把个人全部角色都转移到shanghai那台计算机上输入quit按回车键输入trans sch ma按回车键后它就问您确实想让服务器"shanghai.nwtraders.msft" 到为企业传送架构主机? 你按是就ok了

在命令提示符里面输入netdom query fsmo /domain:nwtraders.msft按回车键后就能够看到刚才转移的Schema owner 已经给Shanghai这台计算机了在命令提示符里面输入trans pdc按回车键后它就问您确实想让服务器"shanghai.nwtraders.msft"到将主机送到域? 你按是就ok了一样能够在命令提示符里面输入netdom query fsmo /domain:nwtraders.msft按回车键后就看到PDC已经转移到shanghai这台计算机了

我现把shanghai那台计算机关掉了反正看成不存在了不可用DC了在命令提示符里面输入ntdsutil按回车键输入roles按回车键输入con按回车键输入con to ser beijing.nwtraders.msft按回车键后就绑定在beijing这台计算机上了输入quit按回车键输入trans pdc按回车键后好久没有反应而后就出现错误了请求的 FSMO 操做失败不能链接当前的 FSMO 盒就是说我如今要把之前转移给shanghai那台DC的二个角色抢占过来输入seize pdc按回车键后它就问您确实想让服务器"beijing.nwtraders.msft" 用下列值取代PDC角色? 你按是就ok了注意:抢占操做会致使数据丢失咱们绝对不建议抢占操做的当你把shanghai那台DC的角色抢占过来后不再要修复shanghai那台DC了若是你再把shanghai那台DC修复好再启动后会发生一些不可预知的事情就是说你之前有一台DC 它有操做主控后来被人抢占走了那要记住原来那台DC最好不要让它回到原来那个域当中了不要再启动它了

经过开始--运行--输入%systemroot%/ntds按肯定按工具--选择文件夹选项--查看--把隐藏受保护的操做系统文件(推荐)的沟去掉选择显示全部的文件和文件夹把隐藏已知文件类型的扩展名的沟去掉按肯定后就能够看到ntds.dit这个文件整个活动目录数据库都在这个文件里面 edb.log这个文件表明事务日志文件 edb.chk是检查点文件 res1.log res2.log是保留日志文件

第二节:活动目录数据库维护什么状况下手动维护数据库:数据库所在分区磁盘空间低数据库容量太大致使备份时间过长硬件失败转移活动目录数据库:肯定活动目录数据库大小备份系统状态数据从新启动计算机进入DSRM模式使用NTDSUTIL.exe转移活动目录数据库从新启动计算机备份系统状态数据

在地址里面输入c:\boot.ini按回车键后就能够看到里面的内容了而后你把multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Advanced Server" /fastdetect复制粘贴到下一行再加上DSRM /safeboot:dsrepair按保存就ok了当你再从新启动的时候就出现二个选项你按DSRM那一项就直接进入活动目录还原模式了

注意:在进入活动目录还原模式前一步的管理员密码不是域管理员密码而是你安装活动目录的时候输入的密码假如我忘记活动目录还原模式密码了怎么办呢？若是是在windows2000上就用域管理员登陆到常规模式在命令提示符里面输入setpwd按回车键而后再从新设置活动目录还原模式的密码就ok了

我如今已经进活动目录还原模式了在命令提示符里面输入ntdsutil按回车键输入file按回车键输入move db to c:\ntds按回车键就ok了就是说我如今要把活动目录数据库转移到C盘下的ntds文件夹里面能够在命令提示符里面看到工做目录:c:\ntds表示已经转移成功了我如今把ntds这个文件夹打开已经能够看到ntds.dit(活动目录数据库)文件和edb.chk(检查点)文件了

在命令提示符里面输入ntdsutil按回车键输入file按回车键输入move log to c:\ntdslog按回车键就把log文件转移到ntdslog这个文件夹了打开ntdslog这个文件夹后能够看到edb.log res1.log re2.log这三个文件了转移成功后就从新启动计算机立刻备份系统状态数据

收缩活动目录数据库:查看数据库空闲空间大小(online) 备份系统状态数据从新启动计算机进入DSRM模式使用ESENTUTL工具查看数据库空间(offline) 使用NTDSUTIL.exe工具收缩数据库从新启动计算机备份系统状态数据

在命令提示符里面输入esentutl /ms c:\ntds\ntds.dit /8按回车键由于活动目录的数据库每一个页面大小是8K 因此就在后面加/8 而后能够看到一张表 Owned表示这个活动目录的每个表格占用了多少页 Available表示这个表格有多少空闲的页最后有一个总结能够看到一共空闲了273页我用计算机来算一下每一页是8K 273X8=2184 能够知道大概空闲2M空间

在命令提示符里面输入ntdsutil按回车键输入file按回车键输入compact to c:\temp按回车键 c:\temp就是说我要把这个压缩文件放到C盘下的temp这个文件夹里面你也能够看到是经过那一个执行指令来完成压缩的压缩完成以后就从新启动计算机备份系统状态数据

从活动目录数据库中删除对象:isDeleted 属性 Deleted Objects 容器 TombStone 周期 Garbage Collection 机制 Garbage Collection 周期

假如我如今把ccc这个联络人删除掉经过开始--运行--输入adsiedit.msc按肯定找到CN=Users--CN=ccc 双击它打开属性在Select a property to view那一项选择isDeleted 若是下面Edit Attribute那一项显示为True就表示这个联络人已经被删除掉了

在命令提示符里面输入ldp按回车键按connection--按connect 输入beijing按ok 按connection--按Bind 输入用户名和密码按ok 按View--按Tree 输入cn=deleted objects,dc=nwtraders,dc=msft按ok 这个容器其实是存在的可是它告诉我无所对象为何呢？你要看容器里面的东西要作一下设置的按Options--按Controls 在里面输入一些东西在windows2000上要本身手动输入若是你用的是windows 2003的支技工具它把那个GUID给列出来你能够直接在这个地方把OID添加进去就能够了在Contols右边它会列出一项叫作return deleted object 而后你选择return deleted object 选择Check in 再打开这个容器你就能够看到你全部的从这个DC上删除的对象了你能够从这里把一个对象恢复出来对象放在这里有一个TombStone 周期是60天过了60天后就等垃圾回收来清理它

在ADSI Edit里面找到 CN=Directory Service 右键--选择属性在Select a property to view那一项选择garbageCollPeriod 这个表示垃圾回收的一个周期若是我在Edit Attribute里面设置成1 那么过1小时后就把deleted object里面的清理掉已通过期的对象做处理在Select a property to view那一项选择tombstoneLifetime 若是我在Edit Attribute里面设置成1 那么被删除的对象它在deleted object里面存在1天按Set 按肯定就开始生效了